首页 /中国电信九江分公司2026-2027年政务云新增安全服务采购项目询比公告

中国电信九江分公司2026-2027年政务云新增安全服务采购项目询比公告

公告-招标公告

江西 -九江 -九江市

发布时间： 2026年05月28日

摘要信息

招标单位

招标编号

招标估价

招标联系人

招标代理机构

代理联系人

报名截止时间

投标截止时间

关键信息

中国电信政务云安全服务采购项目公告

招标详情

下文中****为隐藏内容，仅对千里马会员开放，如需查看完整内容请或拨打咨询热线： 400-688-2000

相关单位：

***********公司企业信息

ZB_ZHAOBIAOGONGGAO_START 本询比项目为****公司2026-2027年政务云新增安全服务采购项目（标段编号：****），采购人为****，采购代理机构为****。项目资金已落实。具备采购条件，现进行公开询比，特邀请有意向的且具有提供标的物能力的潜在供应商（以下简称供应商）参加询比响应。

1.项目概况与采购内容

1.1项目概况：为满足****业务发展，故启****公司2026-2027年政务云新增安全服务采购项目。

1.2采购内容及标包划分情况：
1.2.1 1.2.采购预算金额：含增值税人民币292万元（其中设备部分75.92万元，服务部分216.08万元），本项目不划分标包，取一名成交供应商，成交份额100%。

1.3采购内容：

序号产品名称数量单位交付地点交付期

1 API风险监测系统 1 套 **省**市设备部分：合同签订后60日内交付使用。

服务部分：自合同签订之日起服务期为两年。

2 渗透测试 1 项

3 SDP安全网关 1 台

序号	标包名称	产品名称	规格型号	数量	交货地点	交货期
1	**电信2026-2027年政务云新增安全服务采购项目采购方案	等保	API风险检测	6	**	2026年8月30日

2.1供应商基本资格要求

2.1.1 供应商应为中华人民**国境内法律上和财务上独立的法人或依法登记注册的其他组织，合法运作并独立于采购人和采购代理机构。供****银行资信和商业信誉。法人下属不具备法人资格的分支机构参与响应的，应提供所属法人针对本项目或覆盖本项目的经营事项的有效授权。
2.1.2 供应商的法定代表人或负责人为同一人或者存在控股、管理关系的不同供应商，不得参加同一标包响应或者未划分标包的同一询比项目响应。
2.1.3 供应商应在项目所在地设有服务团队，且服务人员数量不少于2人（含）。
2.1.4 本次询比不接受联合体响应。}
2.1.5 本次询比接受代理商响应。代理商响应的，应满足下列要求：
（1）本项目核心设备API风险监测系统、SDP安全网关仅允许代理唯一制造商响应，且该制造商不得再自行响应或再委托其它响应供应商响应。
（2）供应商与产品制造商的代理**关系迄今为止应已持续 0年（含）以上。（3）
2.1.7 2.1供应商应为中华人民**国境内法律上和财务上独立的法人或依法登记注册的其他组织，合法运作并独立于采购人和采购代理机构。供****银行资信和商业信誉。法人下属不具备法人资格的分支机构参与响应的，应提供所属法人针对本项目或覆盖本项目的经营事项的有效授权。

2.2供应商的法定代表人或负责人为同一人或者存在控股、管理关系的不同供应商，不得参加同一标包响应或者未划分标包的同一采购项目响应。
2.2供应商不得存在下列情形之一（1）为采购人不具有独立法人资格的附属机构（单位）；

（2）被依法暂停或取消投标/响应资格的；

（3）被责令停产停业、暂扣或者吊销许可证、暂扣或者吊销执照；

（4）进入清算程序，或被宣告破产，或其他丧失履约能力的情形；

（5）在最近三年内（自2023年05月01日起）被相关行****机关认定有骗取中标/成交、严重违约、重大工程质量或者安全问题的；

（6）在最近五年内（自2021年05月01日起）被判处单位行贿罪，且行贿行为与采购活动相关的（以“中国裁判文书网”的生效判决为准）；

（7）在最近五年内（自2021年05月01日起）被判处合同诈骗罪的（以“中国裁判文书网”的生效判决为准）；

（8） ****法院在“信用中国”网站（www.****.cn）或各级信用信息共享平台中列入失信被执行人名单，已执行完毕或不再执行的除外；

（9）为本询比项目提供过设计、编制技术规范和其他文件的咨询服务；

（10）为本工程项目的相关监理人，或者与本工程项目的相关监理人存在隶属关系或者其他利害关系；

（11）为本询比项目的代建人；

（12）为本询比项目的采购代理机构；

（13）与本询比项目的监理人或代建人或采购代理机构同为一个法定代表人；

（14）与本询比项目的监理人或代建人或采购代理机构存在控股或参股关系；

（15） ****机关在国家企业信用信息公示系统中列入严重违法失信企业名单的；

（16）中国电信在职员工违规担任供应商法定代表人并参与采购活动的；

（17****集团有限公司/****公司中层及以上管理人员违反有关领导人员配偶、子女及其配偶经商办企业行为管理规定，其配偶、子女及其配偶经商办企业参与采购活动的；

（18）中国电信领导人员离职或退休后三年内违反《国有企业领导人员廉洁从业若干规定》等相关规定任职、投资入股的私营企业、外资企业和中介机构，参与其原任职单位采购活动的；

（19）（1）为采购人不具有独立法人资格的附属机构（单位）；

（2）被依法暂停或取消投标/响应资格的；（3）被责令停产停业、暂扣或者吊销许可证、暂扣或者吊销执照；（4）进入清算程序，或被宣告破产，或其他丧失履约能力的情形；（5）在最近三年内（自2023年05月01日起）被相关行****机关认定骗取成交/成交、严重违约、重大工程质量或者安全问题的；（6）在最近五年内（自2021年05月01日起）被判处单位行贿罪，且行贿行为与采购活动相关的（以“中国裁判文书网”的生效判决为准）；（7）在最近五年内（自2021年05月01日起）被判处合同诈骗罪的（以“中国裁判文书网”的生效判决为准）；（8****法院在“信用中国”网站（www.****.cn）或各级信用信息共享平台中列入失信被执行人名单，已执行完毕或不再执行的除外；（9）为本询比项目提供过设计、编制技术规范和其他文件的咨询服务；（10）为本工程项目的相关监理人，或者与本工程项目的相关监理人存在隶属关系或者其他利害关系；（11）为本询比项目的代建人；（12）为本询比项目的采购代理机构；（13）与本询比项目的监理人或代建人或采购代理机构同为一个法定代表人；（14）与本询比项目的监理人或代建人或采购代理机构存在控股或参股关系；（15****机关在国家企业信用信息公示系统中列入严重违法失信企业名单的；（16）中国电信在职员工违规担任供应商法定代表人并参与采购活动的；（17****集团有限公司/****公司中层及以上管理人员违反有关领导人员配偶、子女及其配偶经商办企业行为管理规定，其配偶、子女及其配偶经商办企业参与采购活动的；（18）中国电信领导人员离职或退休后三年内违反《国有企业领导人员廉洁从业若干规定》等相关规定任职、投资入股的私营企业、外资企业和中介机构，参与其原任职单位采购活动的；（19）【其他按照中国电信供应商不良行为处理结果及《中国电信供应商不良行为管理规则》的结果执行规则，应对供应商及其响应产品在本项目中执行禁止采购处理措施的；】（20）法律法规、询比文件限定的其他情形。
（19）其他按照中国电信供应商不良行为处理结果及《中国电信供应商不良行为管理规则》的结果执行规则，应对供应商及其响应产品在本项目中执行禁止采购处理措施的；
（20）法律法规、询比文件限定的其他情形。供应商是代理商的，本条所指的供应商也包括其所代理的制造商。
2.3产品资格要求

2.3.1 产品应是来自中华人民**国的成熟稳定的产品。

2.3.2 产品。 2.3.4 2.7响应产品资格要求：

2.7.1响应产品应是来自中华人民**国或是与中华人民**国有正常贸易与往来的国家或地区的产品；

2.7.2响应产品应是成熟稳定的产品，如本项目成交，涉及进网许可的相关设备，则将在设备发货前完成办理电信设备进网许可证(含进网试用批文)。

评审依据：响应供应商提供承诺函，承诺后如若无法兑现承诺，按响应供应商响应弄虚作假处理，采购人将取消其成交资格（如已签订合同，采购人有权解除合同，响应供应商由此给采购人带来的一切损失由响应供应商自身承担）。

2.8供应商须承诺成交后在本项目合同执行期间负责一切按照国家法律法规和行政主管部门规章规定应由自身承担的安全生产事项。供应商提供承诺函，承诺后如若无法兑现承诺，按供应商响应弄虚作假处理，采购人将取消其成交资格（如已签订合同，采购人有权解除合同，供应商由此给采购人带来的一切损失由供应商自身承担）。

2.9供应商须承诺遵守中国电信安全生产制度，如发生违规行为，****集团处罚规则接受处理。供应商提供承诺函，承诺后如若无法兑现承诺，按供应商响应弄虚作假处理，采购人将取消其成交资格（如已签订合同，采购人有权解除合同，供应商由此给采购人带来的一切损失由供应商自身承担）。。
2.3.5 响应产品所涉知识产权应保证不存在权利瑕疵，不侵害第三方专利权、商标权、著作权或其他任何形式的合法权益，并提供《知识产权不侵权承诺函》。。
2.3.6 产品应符合中国电信相关技术要求，并满足以下关键技术指标：

（1）API风险监测系统

序号

技术指标

具体要求

API风险监测系统

1、硬件配置：CPU：12核24线程；内存：128GB；硬盘：2*4TB HDD、2*960GB SSD；网口：2*千兆电口, 2*万兆光口；其他配件：冗余电源+导轨

2、系统性能：流量处理峰值5Gbps，HTTP事件处理峰值3000QPS；

3、系统功能：

（1）流量解析引擎：支持流量镜像、Agent采集流量方式，可还原完整的http事件的请求和返回内容。

（2）API资产梳理引擎：支持API采样、API识别、API清单产出、API画像呈现、API定义功能。

（3）弱点发现引擎：支持识别API未鉴权、API参数可遍历等10大类50小类弱点类型。

（4）风险检测引擎：支持感知数据泄露类、账号安全类、Web攻击类数据风险。

5、配套运营服务：提供1年12次数据安全专家运营服务，服务内容包含：

（1）应用资产梳理

（2）API资产梳理

（3）API识别状态优化

（4）API敏感数据识别

（5）数据识别策略优化

（6）API扫描流量过滤

（7）API风险告警分析

（8）风险告警规则优化

（9）API弱点验证

（10）API弱点评估

（11）API弱点整改建议

（12）API弱点复核

（13）数据同步运营

服务交付物包含：

（1）《****中心数据安全运营服务报告》

（2）《****中心应用资产清单》

（3）《****中心数据接口资产清单》

（4）《****中心数据接口弱点清单》

（5）《****中心数据接口弱点报告》

（6）《****中心数据接口风险清单》

（2）SDP安全网关

序号

技术指标

具体要求

SDP安全网关

****中心

性能参数：最大并发用户数（个）≥3200，最大并发用户数（个）≥2500。

硬件参数：规格：1U，内存大小≥16G，硬盘容量≥256G SSD，电源：冗余电源，接口≥8千兆电口+4千兆光口SFP+2万兆光口SFP+；≥2001套* 零信任接入授权（授权买断）;提供不少于3年维保服务;

功能要求：****管理局颁布的SM1、SM2、SM3、SM4密码算法及其协议，支持多种身份认证方式、细粒度访问权限控制等主要功能，另外可选配扩展支持UEM功能，保证远程系统接入的用户身份安全、终端/数据安全、传输安全、应用权限安全和审计安全，符合国家商用密码标准。

零信任代理网关

SSL性能参数：最**论加密流量（Mbps）≥480，最**论建议并发用户数（个）≥4800。

硬件参数：规格：1U，内存大小≥16G，硬盘容量≥256G SSD，电源：冗余电源，接口≥8千兆电口+4千兆光口SFP+2万兆光口SFP+；提供不少于3年维保服务;

（3）渗透测试

序号

技术指标

具体要求

渗透测试

**市政务云渗透测试服务技术规范

一、服务概述

1.1 测试范围

（一）现有市本级云上所有业务项目渗透测试及整改闭环，按照“分类分级、稳步推进”原则，结合系统复杂度及业务重要性划分测试优先级，完成全量测试及闭环处置；

（二）安全加固与配置优化服务

针对渗透测试及巡检中发现的漏洞，提供全流程安全加固技术支撑：包括操作系统（Windows、Linux、**银河等）、数据库（MySQL、Oracle等）、中间件（Tomcat、Nginx等）等配置优化，指导客户安装安全补丁、开启防火墙规则等；每季度开展1次加固效果验证；

交付成果清单：

《月度渗透进度报告》《季度渗透分析及防护建议报告》等；若本次服务目标未完成，按服务未完成进度扣减对应费用。

1.2 测试原则与边界

采用黑盒为主、灰盒为辅的测试模式，模拟真实外部攻击者行为，严格限定在授权范围内操作，禁止对非目标资产、网络基础设施或第三方系统发起探测，禁止使用可能引发业务中断的拒绝服务（DoS/DDoS）类测试手段，所有测试行为须可追溯、可审计、可回滚。

二、服务执行标准

2.1 测试频次与周期

在服务期内，服务方每年须完成不少于2轮全量渗透测试，覆盖全部目标系统。两轮测试根据甲方要求应合理分布于上半年与下半年，其中至少1轮须安排在重大活动保障（重保）期间。每轮测试前须提交《渗透测试实施方案》，明确测试对象、时间窗口、方法边界及风险控制措施，经甲方书面授权后方可实施。

三、人员配置与资质要求

3.1 驻场人员配置

服务方须指派不少于2名工程师全程驻场服务，工作地点为甲方指定办公区域，两人每周合计现场工作时间不少于80小时（人均不少于40小时），纳入甲方统一考勤管理，确保通讯畅通，应急响应2小时内到场。

3.2 职责分工

3.2.1 技术渗透与应急响应工程师（主测岗）

负责渗透测试方案设计、漏洞深度挖掘、攻击路径复现及高危风险研判；主导编写渗透测试报告，提供技术性修复建议与验证方法；在重保期间承担7×24小时应急值守，主导安全事件分析与处置；具备扎实的攻防实战能力，熟悉云环境、Web应用、API及常见中间件漏洞利用技术。

3.2.2 租户对接与安全支持工程师（协调岗）

作为服务方与各业务系统租户单位的接口人，负责日常沟通、问题解答与需求响应；协助租户理解漏洞成因、整改要求及验证标准，必要时提供远程或现场配置指导；参与基础性安全运维工作，如协助开展资产台账核对、开放端口核查、弱口令筛查、日志异常初步分析等；配合组织安全培训、漏洞复盘会及安全开发规范宣贯，提升租户单位安全意识与能力。

3.3 团队整体资质要求

整个渗透测试专项团队（含驻场及后台支撑成员）必须满足以下国家认可的资质条件：

至少1名成员持有CISP-PTE（注册信息安全专业人员-渗透测试工程师）证书；

至少1名成员持有CNVD原创漏洞证明（事件型或通用型均可）；

至少1名成员持有CISA-W或CISAW（应急服务方向）认证；

至少1名成员持有软考中级（或以上）证书。

上述资质可由同一人兼有多项，亦可由不同成员分别持有，但须在项目启动前向甲方提交完整证明材料并接受核验。渗透人员应取得国家注册渗透测试工程师（CISP-PTE）及以上资质证书，同时应取得信息安全工程师或网络工程师等中级及以上资质证书。

3.4 合规与背景要求

所有参与人员须为中华人民**国公民，无违法犯罪记录，须签署《保密承诺书》《网络安全责任书》及《背景调查授权书》，不得同时服务于存在利益冲突的其他单位，确保服务独立性与数据安全性。

四、工作内容与交付要求

4.1 渗透测试报告要求

4.1.1 报告内容规范

每份正式报告须包含以下核心内容：

测试授权范围、时间窗口及方法说明、目标系统资产清单与测试对象明细、漏洞详情（含漏洞类型、URL/路径、请求/响应报文、截图证据、复现步骤）、基于CVSS 3.1标准的风险评分及等级划分（高/中/低）、对应《GB/T 22239-2019 信息安全技术网络安全等级保护基本要求》的控制项映射（如"安全计算环境-入侵防范"）、可落地的修复建议、临时缓解措施及验证方法、整改优先级建议（按业务影响与修复难度综合评估）。

4.1.2 交付时效与格式

每个项目的渗透测试结束后5个工作日内提交报告初稿，7个工作日内提交正式版，正式报告须为PDF + Word双格式，加盖服务方单位公章，主测工程师手写签名，报告命名规则：[系统名称]渗透测试报告_V[版本号][YYYYMMDD]。

按照甲方对渗透测试数量和进度的要求，服务方须有序推进工作：每季度完成22至24个业务系统的渗透测试，全年累计目标约为80个（该总数为预估值，可根据实际资产变化、系统上线节奏或甲方统筹安排等情况在合理范围内适当调整）。

为确保时序进度可控，年度任务按季度分解为：第一季度末累计完成不少于22个，第二季度末累计不少于46个，第三季度末累计不少于70个，第四季度末力争完成约80个。在此基础上进一步细化至月度节奏，建议各季度内均衡推进，即1–3月每月完成7–8个，4–6月每月完成8个左右，7–9月每月完成8个左右，10–12月根据前期执行情况和剩余任务量动态调整月度计划。如在任一阶段发现实际进度滞后于上述时序要求，服务方应立即追加人力**投入，采取包括但不限于增派驻场工程师、**工作时间或优化测试流程等措施，全力保障整体进度不脱期。

4.1.3 保密与使用限制

报告内容属于甲方敏感信息，严禁用于非授权用途；未经甲方书面许可，不得对外披露、引用或用于其他项目。

4.2 日常工作与协同支持

4.2.1 租户答疑与技术指导

协调岗工程师须主动对接各租户单位，及时解答关于漏洞修复、安全配置、开发规范等问题，对高危漏洞提供不少于3次的技术支持（含远程或现场），直至完成有效整改，定期整理常见问题FAQ，降低重复咨询成本。

4.2.2 漏洞闭环管理

配合甲方漏洞管理平台，实现漏洞从发现、分发、修复到验证的全流程跟踪，对超期未修复的高危漏洞，出具《风险升级预警函》，并抄送安全主管单位。

4.2.3 安全培训与技术支持

每季度为客户技术团队开展1次专项安全培训，内容包括渗透测试基础、常见漏洞防护、应急响应流程、安全配置规范等，培训形式采用理论讲解+实操演示结合.提供日常安全技术咨询服务，针对客户团队提出的安全问题（如工具使用、漏洞修复、政策合规等），24小时内给予响应，复杂问题48小时内提供完整解决方案。

4.2.4 日志分析与安全态势感知

协助客户分析指定设备日志（如操作日志、安全设备日志），排查异常行为；每季度结合日志数据、漏洞数据、事件数据，输出《季度安全态势分析报告》，全面呈现客户安全状况及优化方向。

五、重大活动安全保障（重保）专项支持

5.1 重保前准备

在重保启动前15日内，完成全量系统高危漏洞复查与验证；协助制定《重保安全防护策略》《应急响应预案》及《值守排班表》。

5.2 重保期间值守

驻场人员须参与甲方值守排班，并保障7×24小时应急响应通道畅通，对异常登录、数据外泄、Webshell等事件实时研判，支持开展红蓝对抗桌面推演或轻量级实战演练。

5.3 重保后总结

重保结束后5个工作日内，提交《重保安全事件分析与改进建议报告》，内容包括攻击尝试统计、防御短板识别及后续加固优先级。

六、工具与环境合规要求

所有测试工具须为国产化软件或经国家备案授权的商业工具（如授权版Burp Suite、Nessus等），禁止使用未授权SaaS平台或境外资产测绘服务（如Shodan、Hunter.io、FOFA国际版等），测试流量须通过政务内网或甲方指定出口，严禁将任何测试数据、日志或漏洞信息上传至公网或境外服务器，所有测试过程日志、原始报文、截图等须完整留存，保存期限不少于2年，以备审计或监管检查。

七、附则

本规范作为服务方提供**市政务云渗透测试服务的强制性履约标准，具有法律与合同约束力。服务方须确保人员能力、流程合规性、交付质量与响应时效全面满足上述要求，切实支撑**市政务云构建"主动防御、精准预警、快速响应、闭环治理"的现代化安全运营体系。

2.3.7 产品业绩要求：响应供应商需提供2023年1月1日至本项目询比公告发布前一日承揽过的同类项目相关有效业绩，按照合同份数进行评审，每提供一份有效业绩得2分，满分4分。。 2.4 产品制造商资格要求
2.4.1 制造商应提供合法有效的登记（或注册）证明文件，****银行资信和商业信誉。
2.4.4 供应商应在项目所在地设有服务团队，且服务人员数量不少于2人（含）。
2.7法律法规规定的其他要求。 3.资格审查方法

本项目将进行资格后审，资格审查标准和内容见询比文件第三章“评审办法”，凡未通过资格后审的供应商，其响应将被否决。
4.询比文件的获取

4.1询比文件获取时间:2026年05月29日 08时30分00秒至2026年06月02日 17时30分00秒（**时间，下同）。

4.2询比文件获取方式：登录“中国电**光采购网（https://caigou.****.cn）”后，通过“招投标-采购文件领取”模块或通过“电子采购入口”跳转中国电信电子采购系统，进入本项目进行询比文件登记申领，未在系统注册的供应商须先进行注册，注册方法详见本公告“7供应商注册”。

4.3询比文件费用：本项目不收取文件费用。

5.响应文件的递交

5.1响应文件递交截止时间（即响应截止时间）为：标书代写 2026年06月08日 09时00分00秒

5.2电子响应文件的提交方式：登录中国电**光采购网（https://caigou.****.cn）后，通过“招投标-我的项目”模块或通过“电子采购入口”跳转中国电信电子采购系统，选择本项目进行响应文件提交，供应商应在响应文件提交截止时间之前通过电子采购系统完成加密电子响应文件的上传。供应商未在电子采购系统进行询比文件申领登记或电子响应文件未按照要求加密的，将无法通过电子采购系统提交电子响应文件。电子标服务

5.3本项目将于响应文件提交截止同一时间通过中国电信电子采购系统开启响应文件，采购人/采购代理机构邀请响应供应商的法定代表人或者其委托代理人准时参加。标书代写

7.供应商注册
7.1中国电**光采购网注册

未注册过的潜在供应商，须通过中国电**光采购网（https://caigou.****.cn）首页“立即注册”模块完成注册后，方可申领本项目询比文件。

7.2 CA证书办理

参与电子采购的潜在供应商须提前办理CA证书进行电子投标文件编制和投标，并确保CA证书在使用时有效。CA证书办理流程详见中国电**光采购网首页“操作指引-CA办理”。

7.3技术支撑联系方式

服务热线：****111884

服务邮箱：****@chinatelecom.cn（电子采购系统技术支撑）

****@chinatelecom.cn（CA证书办理技术支撑）

8.发布公告的媒介

本询比公告同时且仅在中国电**光采购网（https://caigou.****.cn）、中国招标投标公共服务平台（http://www.****.com/）上发布，其他媒介转载无效。

9.联系及异议接收方式

9.1联系方式

采购人:	****	采购代理机构:	****
地址：	****开发区九瑞大道96号	地址：	省市丁公路38号
邮编：		邮编：	360400
联系人：	李先生	联系人：	邓淑娟
电话：	0792-****569	电话：	138****6089
电子邮件：		电子邮件：	****@chinaccs.cn
网址：	www.****.cn	网址：
		开户银行：	****花园支行
		账号：	311********00013211